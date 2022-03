*Piep*. Je krijgt een sms’je van DHL dat er een pakketje voor jou aankomt. Het enige dat jij hoeft te doen? Even de app van DHL downloaden om de bezorgtijd te bevestigen. Dit is hoe smishing begint.

Dit moet je weten over smishing

Uiteraard stopt het verhaal hier niet. Na het downloaden van de app wordt er namelijk een virus op je smartphone geïnstalleerd. Uiteraard gebeurt dit zonder dat je het doorhebt.

In het slechtste geval slaagt dit virus erin om jou veel geld afhandig te maken, bijvoorbeeld door een neppe bankieren-app te installeren die een exacte kopie is van de echte applicatie. De eerstvolgende keer dat je bij de namaakversie inlogt, gaat de andere kant er met je betaalgegevens vandoor – met alle gevolgen van dien.

Dat was het doemscenario. Veel vaker wordt smishing (gelukkig maar) in een vroeg stadium in de kiem gesmoord, bijvoorbeeld omdat slachtoffers het niet vertrouwen.

Wat is de betekenis van smishing?

Smishing is een samentrekking van de woorden sms en phishing, een bekende methode onder cybercriminelen. Zoals de naam doet vermoeden ‘vissen’ de kwaadwillenden hierbij naar persoonlijke (en vertrouwelijke) informatie. Denk aan betaalgegevens of wachtwoorden van e-maildiensten. Het uiteindelijke doel van slechteriken is linksom of rechtsom altijd geld verdienen.

Het verschil tussen phishing en smishing heeft met de manier van contactleggen te maken. Bij laatstgenoemde benadert de crimineel het slachtoffer per sms. Phishing gaat veel vaker via e-mail of telefonisch.

Zo gaat een smishing-aanval

Het verhaal uit de inleiding is slechts één van de vele gedaanten die smishing kan aannemen. Criminelen worden steeds creatiever en proberen sms’jes op allerlei manieren in te zetten. Het is daarom een onbegonnen zaak om alle verschijningsvormen van deze methode op een rijtje te zetten. Wel kunnen we enkele algemene kenmerken van smishing geven.

Ten eerste proberen ‘smishers’ altijd een bepaalde vorm van druk uit te oefenen. Men waarschuwt bijvoorbeeld dat je bankpas binnen 24 uur verloopt, mits jij geen actie onderneemt. Vervolgens moet je op de link in het sms’je tikken, waarna je naar een (legitiem ogende) bankwebsite wordt gestuurd. Hier wordt gevraagd om je gegevens achter te laten, zodat je bankpas niet geblokkeerd wordt.

Ook pakketbezorging wordt vaak als dekmantel gebruikt. De beruchte FluBot-malware probeerde slachtoffers bijvoorbeeld te verleiden om een app te downloaden. Deze app was zogenaamd nodig om een naar jou verzonden pakketje in ontvangst te kunnen nemen. In werkelijkheid zat de ‘app’ vol met malware, een virus dat (uiteindelijk) in staat was om mensen van hun geld te beroven.

Criminele kinderen

Een nog gehaaidere methode is hulpvraagfraude. Bij deze vorm van fraude doen criminelen zich voor als een familielid van het slachtoffer. Een kind (lees: de crimineel) vertelt per sms bijvoorbeeld tegen een (groot)ouder dat hij of zij een nieuw nummer heeft.

Nadat er een vorm van vertrouwen is ontstaan, vraagt het kind om geld aangezien er iets ernstigs zou zijn gebeurd en er snel geld nodig is. Uiteraard wordt hierbij de belofte gedaan dat het bedrag rap weer wordt terugbetaald.

In het kort gaan smishers meestal zo te werk:

Er wordt een band van vertrouwen opgebouwd, bijvoorbeeld door zich uit te geven als een familielid of legitiem bedrijf. Argwaan wordt weggenomen. Heel vaak zijn de berichten gepersonaliseerd en worden slachtoffers bijvoorbeeld met hun voornaam aangesproken. De criminelen spelen in op de emotie van het slachtoffer. Dat doen ze door bijvoorbeeld de druk op te voeren: je moet nu naar deze website om je bankpas te verlengen, anders kun je morgen niet meer pinnen.

Zo kun jij je wapenen tegen smishing

Het herkennen van smishing kan flink wat voeten in de aarde hebben. Criminelen zitten allesbehalve stil en proberen hun technieken zo ‘echt’ mogelijk te maken. Men gebruikt bijvoorbeeld een verkort telefoonnummer (zoals 7500) om zich voor te doen als legitiem bedrijf. Er zijn zelfs methoden om een echte bedrijfsnaam in de sms-app te laten opduiken.

Het is dus lastig om smishing aan de afzender of het telefoonnummer te herkennen. Gelukkig kun je nog altijd op je gezond verstand vertrouwen. Klinkt het aannemelijk dat de Belastingdienst jou een sms’je stuurt met daarin het verzoek om je inkomstenbelasting via een iDeal-betaalverzoek over te maken? Nee, natuurlijk niet.

Verder kun je de smishing-poging mogelijk herkennen door onderzoek te doen. Google bijvoorbeeld op het telefoonnummer van de mogelijke criminelen, of zoek naar de (steekwoorden van de) inhoud van het bericht. Media, waaronder Android Planet, publiceren continu over nieuwe oplichtingsmethoden om mensen hiervoor te behoeden.

Tot slot is het belangrijk om niet zomaar op linkjes in mogelijke smishing-berichten te tikken. Meestal leiden deze naar nagemaakte versies van echte, legitieme websites. Of je wordt bijvoorbeeld doorgestuurd naar een pagina om een app (een apk-bestand) van buiten de Google Play Store om te downloaden. Uiteraard is dit foute boel.

Meer beveiligingstips

Helaas komt cybercriminaliteit steeds vaker voor. Daarom proberen je op Android Planet hier niet alleen over bij te praten, maar ook tegen te wapenen. Lees bijvoorbeeld onze uitgebreide gidsen over het herkennen en voorkomen van malware, adware, ransomware en andere virussen.